Conficker - Perguntas e eliminação

Perguntas frequentes sobre o Conficker (também conhecido como Kido, Downadup)

download_disinfector
O que é o Conficker?

O Conficker (também conhecido como Kido ou Downadup) foi detectado pela primeira vez em novembro de 2008 como um worm que se dissemina através de redes locais e mídia de armazenamento removível. A geração mais recente do Conficker não se dissemina por si só; porém, da mesma forma que as variações anteriores, pode se atualizar através do download de um código adicional.

O Conficker criou um poderoso botnet de máquinas infectadas. Ele foi programado para se atualizar em 1º de abril de 2009 e a geração mais recente desse programa foi criada para gerar 50.000 nomes de domínio de acordo com um algoritmo aleatório e escolher 500 desses domínios, que possivelmente ele pode contatar para se atualizar. O Conficker usa uma tecnologia bastante sofisticada. Ele baixa atualizações de recursos online que mudam constantemente; usa redes P2P como fonte adicional de downloads; usa criptografia forte para evitar interferências em sua central de comando e controle; e impede que produtos antivírus recebam atualizações.

Ainda não é claro o motivo da criação do botnet do Conficker, nem como ele poderá ser usado no futuro.

Por que o Conficker é uma ameaça?

Potencialmente, o imenso botnet formado pelos computadores infectados pelo Conficker fornece aos criminosos virtuais os meios para realizar ataques DDoS em massa direcionados a qualquer recurso da Internet, roubar dados confidenciais dos computadores infectados e distribuir conteúdo não-solicitado (como enviar spams em massa). Acredita-se que aproximadamente cinco a seis milhões de computadores em todo o mundo estejam infectados pelo Conficker.

Inicialmente, o Conficker se dissemina através de redes locais e dispositivos de armazenamento removível. Ele explorou especificamente a vulnerabilidade crítica MS08-067, corrigida pela Microsoft em outubro de 2008. Entretanto, acredita-se que um número significativo de computadores não tenha sido corrigido até janeiro de 2009, quando a disseminação do Conficker atingiu seu ponto máximo.

Informações mais detalhadas sobre como o Kido invade os computadores estão disponíveis em:

Como posso evitar uma infecção pelo Conficker?

A Kaspersky Lab, empresa pai da Threatpost.com, oferece produtos que protegem sistemas da infecção por todas as variações do Conficker. Verifique se você ativou a atualização automática do produto (ativada por padrão) e execute uma verificação completa do sistema. Apesar de o Kaspersky Internet Security proteger os computadores sem o patch, verifique se você instalou todas as atualizações de segurança do Windows mais recentes (especialmente o patch MS08-067).

Como posso saber se meu computador está infectado?

Se houver algum computador infectado na sua rede local, o volume do tráfego de rede aumentará devido ao ataque de rede realizado pelos computadores infectados. Os aplicativos antivírus com o firewall ativado relatarão um ataque por Intrusion.Win.NETAPI.buffer-overflow.exploit.

Se você suspeitar que seu computador está infectado, tente abrir o navegador e navegue até seu mecanismo de pesquisa preferido. Se a página for aberta, tente abrir www.kaspersky.com ou www.microsoft.com; se a página não abrir, provavelmente o site tenha sido bloqueado por um programa malicioso. A lista completa de recursos bloqueados pelo Kido está disponível aqui.

Eu sou administrador de uma rede local. Como posso conter e neutralizar uma infecção pelo Kido?

Você pode remover o Kido com o auxílio de um utilitário exclusivo, o KKiller.exe. Para evitar que as estações de trabalho e servidores de rede sejam infectados:

  • Instale os patches que corrigem as vulnerabilidades MS08-067, MS08-068 e MS09-001.
  • Verifique se você tem uma senha de administrador forte; ela deve ter pelo menos seis caracteres, incluindo letras maiúsculas e minúsculas, números e caracteres não-alfanuméricos. Desative a execução automática de todas as mídias removíveis. Desative o Agendador de tarefas.

Se estiver usando o KKiller.exe para remover o Kido, execute esse aplicativo manualmente em todos os computadores infectados.

Como posso remover o Kido, sendo um usuário doméstico?

Baixe o KKiller. Execute o KKiller.exe. Quando a verificação for concluída, talvez ainda haja uma janela da linha de comando aberta; para fechá-la, basta pressionar qualquer tecla.

Se estiver executando o KKiller.exe em um computador com o Agnitum Outpost Firewall instalado, reinicie o computador quando a execução do utilitário KKiller for concluída.

Recomendações para a remoção do Kido também estão disponíveis aqui.

** Fonte: KasperSky **

Comentários